响尾蛇（SideWinder）是疑似具有南亚背景的APT组织，其攻击活动最早可追溯到2012年。研究人员捕获到一批疑似SideWinder组织Android端攻击样本。此次捕获的样本主要针对南亚地区开展攻击活动，国内用户不受其影响。攻击活动有如下特点：1. 样本托管在Google Play商店，伪装成Secure VPN(VPN加密通信软件)、Supereme Allah、Z Cleaner(手机清理软件)、Secure browser(浏览器软件)，安装人数超过1K+。2. C2地址隐蔽性增强，包括硬编码在样本中、加密保存在google play安装链接参数中、通过firebase后台下发C2。

SideWinder 组织，又被称“响尾蛇”、“APT-C-17”、“T-APT-04”，主要针对巴基斯坦等南亚国家进行定向攻击。近日，研究人员检测到SideWinder 组织常用的鱼叉式钓鱼攻击文件，以及相关远控程序。此次钓鱼攻击针对的目标为巴基斯坦财务司和外交部。 攻击者使用鱼叉式钓鱼文件 Pay and Pension Increase Circular_Finance Division.zip（工资和养老金增加通知_财务司.zip），解压后得到 SideWinder 常用lnk攻击文件，使用 mshta 去下载远程 hta 文件。

研究人员捕获了一起略为特殊的攻击活动事件。该攻击活动由APT-C-24（响尾蛇SideWinder）组织发起，一改往日的攻击框架，使用了全新的攻击方式和流程。在这次攻击活动中，因为软件版本原因，导致按照正常代码执行逻辑无法正常完成攻击活动，似乎是响尾蛇APT组织在代码的测试环境上并未完全与中文环境同步。 响尾蛇组织在本次攻击活动围绕FileSyncShell.dll构建了前期的执行流程，使用恶意程序替换FileSyncShell.dll，以DLL侧加载的方式通过explorer.exe来启动FileSyncShell.dll，从而实现攻击流程。攻击流程如下：

2022 年 3 月中旬，来自世界各地的至少三个不同的APT组织发起了鱼叉式网络钓鱼活动，利用正在进行的俄乌战争作为诱饵，分发恶意软件并窃取敏感信息。这些活动由El Machete、Lyceum 和 SideWinder发起，针对多个行业，包括尼加拉瓜、委内瑞拉、以色列、沙特阿拉伯和巴基斯坦的能源、金融和政府部门。El Machete感染链Lyceum感染链

SideWinder又名RattleSnake、响尾蛇，是一个具有印度政府背景的APT组织，其主要目的是对南亚的多个国家进行间谍活动以满足印度政府的利益。主要攻击的行业为南亚国家的国防和政府部门。近期， Sidewinder 发起了针对巴基斯坦海军招募中心的攻击活动，通过鱼叉式网络钓鱼邮件投递恶意附件，使用了与以往活动稍有不同的DLL侧加载技术，利用合法的control.exe 可执行文件加载一个恶意的 DLL，最终在受害者主机中植入 SideWinder 在过往攻击活动中使用的 RAT 以完成命令执行和数据外渗。

今年3月，研究人员捕获到几例利用相关国家外交政策为诱饵的恶意样本，并将其归因为响尾蛇(SideWinder)组织。此类样本伪装成大使馆向巴基斯坦委员会的投资回信、建立港口防疫能力等热点信息开展攻击。一旦受害者执行此类恶意样本，初始LNK文件将从远程服务器下载恶意脚本执行，恶意脚本将释放展示正常的诱饵文档以迷惑受害者，并继续从远程服务器获取第二阶段恶意脚本执行。第二阶段恶意脚本中更新了在受害者计算机上部署相关恶意软件的流程，最后通过白加黑的方式加载最终的远程木马，控制受害者机器，从而窃取敏感信息。研究人员披露了响尾蛇APT组织在2021年上半年攻击活动中更新的攻击手法及代码细节。响尾蛇（又称SideWinder）APT组织是疑似具有南亚背景的APT组织，其攻击活动最早可追溯到2012年。主要针对其周边国家政府、军事、能源等领域开展攻击活动，以窃取敏感信息为攻击目的。更新的具体细节如下：

今年3月，奇安信威胁情报中心捕获到几例利用相关国家外交政策为诱饵的恶意样本。此类样本伪装成大使馆向巴基斯坦委员会的投资回信、建立港口防疫能力等热点信息开展攻击。一旦受害者执行此类恶意样本，初始LNK文件将从远程服务器下载恶意脚本执行，恶意脚本将释放展示正常的诱饵文档以迷惑受害者，并继续从远程服务器获取第二阶段恶意脚本执行。第二阶段恶意脚本中更新了在受害者计算机上部署相关恶意软件的流程，最后通过白加黑的方式加载最终的远程木马，控制受害者机器，从而窃取敏感信息。

近日，研究人员捕获多起南亚APT组织SideWinder（又称响尾蛇）的攻击样本，该组织此前已对巴基斯坦和东南亚各国发起过多次攻击。该组织以窃取政府、能源、军事、矿产等领域的机密信息为主要目的。本次捕获到的攻击样本手法与往期相似，即通过带漏洞的RTF文档释放并执行JS脚本。SideWinder组织惯用手法最明显标志为在一阶脚本中最后动态调用自加载程序o.work函数。常见o.work调用如下：研究人员在对SideWinder攻击样本分析后发现，该组织在最后阶段的App.dll与以往使用的工具非常相似，其添加了异常回传、启动Decoy功能。

响尾蛇（SideWinder）APT攻击组织是由国外厂商卡巴斯基是在2018年披露，该APT组织主要针对巴基斯坦等南亚国家安恒威胁情报中心猎影实验室监测发现响尾蛇（SideWinder）APT组织在2019年6左右对我国敏感单位进行的鱼叉式钓鱼邮件攻击，涉及到的部门包括：驻华大使、敏感单位。我们捕获了多个诱饵文件，它们利用同一个漏洞CVE-2017-11882进行鱼叉攻击。之前披露的响尾蛇（SideWinder）APT攻击组织针对巴基斯坦进行攻击时，shellcoe采取远程下载hta文件的方式进行。相关诱饵文件的打开截图如下：

响尾蛇(Sidewinder)为印度背景的APT威胁组织，该组织长期以南亚地区及其周边国家为目标。近期，研究人员发现了该组织用于分发恶意LNK文件并托管多个凭据网络钓鱼页面的服务器。这些页面是从受害者的Webmail登录页面复制而来的，随后被修改以进行网络钓鱼。我们认为，进一步的活动是通过鱼叉式网络钓鱼攻击传播的。该组织的目标主要是尼泊尔和阿富汗的多个政府和军事单位。某些网络钓鱼页面会将受害者重定向到其他文档或新闻页面。这些页面和文档的主题和主题与Covid-19或尼泊尔，巴基斯坦，印度和中国之间最近的领土争端有关。此外，这些诱饵似乎是通过网络钓鱼链接分发的，部分诱饵文档如下：